Η Zimbra διορθώνει την ευπάθεια zero-day που εκμεταλλεύεται σε επιθέσεις XSS
Δύο εβδομάδες μετά την αρχική αποκάλυψη, η Zimbra κυκλοφόρησε ενημερώσεις ασφαλείας που επιδιορθώνουν μια ευπάθεια zero-day που εκμεταλλεύεται σε επιθέσεις που στοχεύουν διακομιστές email Zimbra Collaboration Suite (ZCS).
Τώρα παρακολουθείται ως
CVE-2023-38750
το ελάττωμα ασφαλείας είναι α
αντικατοπτρισμένη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS)
ανακαλύφθηκε από τον ερευνητή ασφαλείας Clément Lecigne της Ομάδας Ανάλυσης Απειλών
Google
.
Οι επιθέσεις XSS αποτελούν σημαντική απειλή, επιτρέποντας στους παράγοντες απειλών να κλέψουν ευαίσθητες πληροφορίες ή να εκτελέσουν κακόβουλο κώδικα σε ευάλωτα συστήματα.
Ενώ η Zimbra δεν ανέφερε ότι το zero-day εκμεταλλευόταν επίσης στην άγρια φύση όταν αποκάλυψε για πρώτη φορά την ευπάθεια και προέτρεψε τους χρήστες να το διορθώσουν με μη αυτόματο τρόπο, η Maddie Stone της Google TAG
αποκάλυψε
ότι η ευπάθεια ανακαλύφθηκε κατά την εκμετάλλευση σε στοχευμένη επίθεση.
“Για να διατηρήσουμε το υψηλότερο επίπεδο ασφάλειας, παρακαλούμε τη συνεργασία σας για την εφαρμογή της επιδιόρθωσης με μη αυτόματο τρόπο σε όλους τους κόμβους του γραμματοκιβωτίου σας”, είπε η Zimbra τότε, ρωτώντας τους διαχειριστές
για να μετριαστεί το σφάλμα ασφαλείας με μη αυτόματο τρόπο
.
Την Τετάρτη, δύο εβδομάδες μετά τη δημοσίευση της αρχικής συμβουλευτικής, η εταιρεία
κυκλοφόρησε το ZCS 10.0.2
μια έκδοση που διορθώνει επίσης το σφάλμα CVE-
2023
-38750, το οποίο “θα μπορούσε να οδηγήσει σε έκθεση εσωτερικών αρχείων JSP και XML.”
Ένα άλλο σφάλμα Zimbra XSS που αντικατοπτρίζεται χρησιμοποιήθηκε τουλάχιστον από τον Φεβρουάριο του 2023 από τη ρωσική ομάδα χάκερ Winter Vivern για να παραβιάσει τις πύλες ηλεκτρονικού ταχυδρομείου των κυβερνήσεων ευθυγραμμισμένες με το ΝΑΤΟ και να κλέψει τα email κυβερνητικών αξιωματούχων, στρατιωτικού προσωπικού και διπλωματών.
Οι ομοσπονδιακές υπηρεσίες ζήτησαν να επιδιορθωθούν εντός τριών εβδομάδων
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έχει
προειδοποίησαν οι ομοσπονδιακές υπηρεσίες των ΗΠΑ
σήμερα για να ασφαλίσουν τα συστήματά τους από επιθέσεις CVE-2023-38750.
Ο οργανισμός πρόσθεσε αυτή την ευπάθεια σε αυτό
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
το οποίο εξουσιοδοτεί τις Ομοσπονδιακές Πολιτικές Εκτελεστικές Υπηρεσίες (FCEB) να επιδιορθώνουν τους ευάλωτους διακομιστές email ZCS στα δίκτυά τους σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε τον Νοέμβριο του 2021.
Η CISA έχει επίσης θέσει προθεσμία τριών εβδομάδων για συμμόρφωση, ζητώντας της να μετριάσουν το ελάττωμα σε όλες τις μη επιδιορθωμένες συσκευές έως τις 17 Αυγούστου.
Παρόλο που ο κατάλογος εστιάζει κυρίως σε ομοσπονδιακούς οργανισμούς των ΗΠΑ, οι ιδιωτικές εταιρείες συμβουλεύονται επίσης να δώσουν προτεραιότητα και να εφαρμόσουν ενημερώσεις κώδικα για όλα τα τρωτά σημεία που αναφέρονται στον κατάλογο σφαλμάτων της CISA.
«Αυτά τα είδη τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», CISA
προειδοποίησε
σήμερα.
Αυτή την Τρίτη, η CISA διέταξε επίσης τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να αντιμετωπίσουν ένα σφάλμα παράκαμψης εξουσιοδότησης στο Ivanti’s Endpoint Manager
Mobile
(EPMM), πρώην MobileIron Core, το οποίο χρησιμοποιήθηκε ως μηδενική ημέρα για να χακάρει μια πλατφόρμα λογισμικού που χρησιμοποιούνταν από 12 νορβηγικά υπουργεία.
